Pour notre chroniqueuse Anne Doré, les entreprises doivent changer de stratégie pour recruter et fidéliser les compétences cyber, en faisant en sorte d’impliquer toutes les parties prenantes de l’entreprise. Et pas seulement en les sensibilisant aux enjeux majeurs.
Développer une approche basée sur les compétences, c’est prendre en considération le besoin de renforcer la cyber résilience de l’organisation, développer une culture cyber mais aussi prendre en compte les contraintes organisationnelles et financières. Il en résulte que l’ensemble des organisations publiques ou privées, et ce quel que soit leur taille, est concernée.
A lire aussi : [Chronique] En cybersécurité, l’IA, facteur de transformation pour les instances dirigeantes et la gestion des compétences
La compétence pour aller au-delà de la sensibilisation
Aujourd’hui, toutes les organisations ou presque font le même constat : il est difficile de sensibiliser l’ensemble des collaborateurs à la cybersécurité et plus encore, d’en faire des acteurs, des ‘gardiens du temple’. La sensibilisation n’est pas suffisante !
Aller au-delà, implique de développer des compétences plus avancées dans un domaine particulier. La sensibilisation consiste généralement à comprendre un problème, une question ou un enjeu, tandis que la compétence signifie que vous êtes capable de prendre des mesures concrètes pour résoudre ce problème ou contribuer de manière significative à une cause. Or, ce dont ont besoin les CISO et les RSSI pour faire face au risque cyber, ce sont des collaborateurs qui « rejoignent la cause », en devenant attentifs. Des collaborateurs vigilants qui ne cliquent par exemple pas sur les mails frauduleux, mais remontent également des alertes. Cela implique que leurs compétences IT ou cyber doivent évoluer aussi vite que celles des attaquants et des nouvelles technologies (on pense évidemment à l’usage de l’IA, par exemple).
Ces compétences spécifiques peuvent s’acquérir à travers des formations professionnelles, des ateliers ou des cours spécifiques. Il appartient aux RH de collaborer avec les CISO et RSSI pour en définir les modalités et la récurrence. En effet, face à ce risque métier qui ne cesse de croître, et des technologies en évolution permanente, les organisations sont non seulement contraintes de former en bonne et due forme l’ensemble de leurs collaborateurs mais aussi d’intégrer l’acquisition des compétences cyber dans les objectifs personnels et annuels des collaborateurs.
On ne le répétera jamais assez : développer de vraies compétences cyber pour les collaborateurs est le seul moyen de faire une différence significative et de renforcer la cyber-résilience de votre organisation. En particulier, une approche basée sur les compétences est essentielle pour les PME et les ETI. Elle constitue le seul moyen de développer la maturité cyber de leur organisation dans le cadre contraint qui est le leur en termes budgétaires, organisationnels et humains.
Développer les compétences de chacun, pour un meilleur partage de responsabilité
Le RSSI ne peut pas porter à lui seul toutes les charges et la responsabilité de la cybersécurité ! Pour avoir une véritable approche par les compétences de la résilience de l’entreprise, il faut certes développer des compétences techniques, mais aussi s’interroger : quelle compétence pour quel collaborateur ? La cybersécurité ne s’arrête en effet pas à des aspects technologiques ! Qu’en est-il de la gestion de crise, des prestations de services externalisées (par exemple le security operations center) ? Il est par exemple tout à fait logique qu’un directeur financier, ou bien un responsable qualité, développe des compétences cyber spécifiques en gestion de crise. L’objectif dans ce cas n’est pas d’avoir le meilleur expert sur le sujet, mais plutôt une personne qui va en comprendre les enjeux, veiller à ce que la mallette de crise soit testée et opérationnelle et le cas échéant savoir collaborer efficacement avec un prestataire externe.
À l’image de la stratégie cyber d’un groupe qui doit s’aligner sur la stratégie globale de l’entreprise, le plan de gestion des compétences cyber d’une PME ou d’une ETI doit se structurer en cohérence avec une vision globale. La dimension humaine sera encore plus prégnantes, en raison du nombre plus limité de collaborateurs de telles organisations : il faut donner du sens sur ce changement attendu. Sans nul doute, certains collaborateurs auront plus ou moins d’appétence à sortir de leur zone de confort pour appréhender un nouveau sujet comme la cybersécurité. Un tel changement culturel ne pourra donc se faire sans le soutien entier du directeur général et de son équipe de direction, qui montreront l’exemple.
La gestion des compétences est synonyme d’agilité, de consensus et de ‘sur-mesure’, un véritable défi quand on connaît le manque de connaissance et de maturité de nombreux dirigeants et DRH sur la cybersécurité. Reste que la mise en place d’une gestion par les compétences est obligatoire pour toutes organisations qui souhaitent développer plus largement leur culture cyber et renforcer leur cyber-résilience, bien plus que les seules opérations de sensibilisation traditionnelles.
Si votre organisation n’est pas en mesure de soutenir un programme d’apprentissage structuré, encouragez vos collaborateurs à découvrir les autres moyens de se former et aidez-les à participer à des réunions et à des projets interfonctionnels. Les compétences évoluent avec le temps : soyez donc prêt à les adapter et à encourager vos collaborateurs à apprendre en permanence. Ouverture d’esprit, flexibilité, agilité et vision dans la durée sont des qualités indispensables et structurantes pour mener cette transformation. Et là encore, il appartient aux dirigeants eux-mêmes d’être sponsors, mais aussi directement acteurs de cette ambition.